Das deutsche Python-Forum

Hallo,

durch meine Freundin kam ich neulich auf die folgende Frage / Problematik:

Wie kann man die Ähnlichkeit zweier Passwörter feststellen, wenn das erste nur als Hashwert vorliegt?

Imho doch gar nicht, da es ja gerade eine der fundamentalen Funktionalität von Hash-Fuinktionen ist, dass sich bereits bei einer kleinen Änderung der Eingansgdaten eine große Änderung des Hashwertes ergibt.

Wie funktionieren also nun Systeme, die bei einem Passwortwechsel das neue Passwort ablehnen, da es "zu ähnlich" zum bisherigen ist?

Das geht doch eigentlich nur, wenn ich das alte Passwort eingebe und dann im Speicher beide in Klartextform verglichen werden, oder?

Du könntest das neue Passwort durch mutieren und schauen, ob die Hashes dann überein stimmen (also genau das gleiche tun, das ein Hacker tun würde, wenn er das alte Passwort hätte).

eine gute kryptografische Hash-Funktion erzeugt einen pseudozufälligen Hash, sodass gerade nicht bei ähnlicher Eingabe auch ähnliche Digests entstehen.

Damit ist die Antwort auf die Frage: Gar nicht.

Mir sind nur Systeme bekannt, die bekannte Kennwörter ablehnen und dafür müssen sie sich nur die Digests merken. Es besteht zwar eine verschwindend geringe Wahrscheinlichkeit, dass ein komplett anderes Kennwort jetzt den selben Hash hat, aber das ist in der Praxis wohl egal. Allgemein gilt übrigens, dass der Zwang, Kennworte ändern zu müssen, zu schwächeren Kennworten führt, weil Leute in der Regel ihre Kennworte jetzt durchnummerieren. So bin ich auch ich in der Firma inzwischen bei 23 angekommen, weil wir da alle paar Wochen dieses das Kennwort ändern müssen. Ich hatte die waage Hoffnung, nach 10 oder 20 wieder bei 1 anfangen zu können, aber Microsoft scheint sie alle zu speichern. Idiotisch.

Stefan

Außerdem sollten Passwörter noch mit einem Zufälligen Salt versehen werden

sma hat geschrieben:...waage Hoffnung...

Das ist nett.
MfG
HWK

sma hat geschrieben:So bin ich auch ich in der Firma inzwischen bei 23 angekommen,

Das gibt mir zu denken...